Interview d’Hervé Liotaud - VP Europe du Sud chez SailPoint
SDBR News : La gestion des identités numériques fait-elle partie du dispositif de sécurité de l’organisation ?
Hervé Liotaud : SailPoint* est spécialisé dans la gestion des identités qui est un sujet central dans la sécurité des systèmes d’information, car il s’agit de pouvoir donner des accès et des applications à tous les employés et à tous les partenaires qui travaillent avec l’entreprise, donc de leur donner des droits. Ce qui paraissait anodin ne l’est plus du tout avec la multiplication des applications SaaS, dont certaines ne sont même pas validées par la DSI, et par la multiplication des accès au travers de nombreux devices (PC, téléphone ou tablette), c’est le premier challenge. Le deuxième challenge est le niveau des attaques : si vous n’arrivez pas à contrôler les accès des personnes dans l’entreprise, vous n’arriverez pas à contrôler leurs droits. La sécurité informatique semble restée sur l’ajout de couches successives (firewall, IPS, anti-APT, etc.) sans qu’on sache vraiment ce qui se passe à l’intérieur pour peu qu’un attaquant ait réussi à pénétrer le système. Avec SailPoint, vous pouvez compartimenter le système de l’entreprise et donner juste accès à ce dont l’employé a besoin dans sa fonction.
SDBR News : Quel est le type de risque encouru par l’entreprise d’une gestion aléatoire de ses droits ?
Hervé Liotaud : On comprend bien que la gestion des droits est critique pour les personnels qui arrivent dans l’organisation et, s’ils peuvent disposer de leurs droits immédiatement à leur arrivée, c’est mieux en termes d’efficacité. Mais le risque est maximum lorsqu’une personne quitte l’entreprise, si les accès ne sont pas immédiatement coupés ou bien si les accès sont coupés via le PC du bureau mais pas via une tablette ou un téléphone, etc. Il est très important de pouvoir contrôler les sorties mais aussi les migrations internes à l’entreprise : d’un département à l’autre, d’une filiale à une autre dans un même groupe, etc. Il peut y avoir des règles toxiques et nous savons que cela arrive très souvent à l’intérieur d’un même groupe : par exemple en cas de spin-off. Pour revenir aux fondamentaux de la sécurité, je contrôle et je donne de la visibilité. La question n’est pas la surveillance des équipes, c’est la sécurité de l’organisation qui est en jeu : exemple caricatural, un stagiaire dans le service RH doit-il avoir accès à l’appli fiches de paye ? Pour éviter ce genre de problème il faut de la visibilité, donc la réponse est dans la gouvernance des identités.
SDBR News : Alors comment doit-on gouverner les identités ?
Hervé Liotaud : La mise en place du SSO (Single Sign-On), qui permet aux utilisateurs d'accéder à différentes applications avec une seule authentification, et du MFA (Multi-Factor Authentication ou authentification multi-facteurs), qui ajoute une couche de protection au processus de connexion (par exemple, scan d’empreinte ou saisie du code reçu par téléphone) sont des protections périmétriques qui ne portent pas suffisamment d’attention au vrai sujet : qui a accès à quoi ? Est-ce valide avec ma politique de sécurité, etc. ? De plus en plus, les auditeurs de l’entreprise posent ces questions et sans un outil comme SailPoint l’entreprise ne pourra y répondre.
SDBR News : Quel est l’atout concurrentiel de SailPoint sur le marché de la gestion des identités ?
Hervé Liotaud : Le marché de l’IAM (Identity and Access Management) est divisé en deux : d’une part l’accès qui concerne les couches physiques que nous avons évoquées et d’autre part le marché de l’IGA (Identity Governance and Administration), qui permet de gouverner les accès, de les contrôler, de sectoriser et de compartimenter. La singularité de SailPoint est de ne travailler que sur le marché de la gestion des identités et en full SaaS. C’est notre métier depuis 2005, date de la fondation de l’entreprise, et nous ne souhaitons pas en sortir ; lorsque nous faisons une acquisition c‘est pour rajouter de la valeur et du savoir à notre métier : récemment nous avons rajouté du machine learning, par exemple. C’est pour cela que nous sommes leader Gartner dans le Magic Quadrant et du Forrester depuis des années.
SDBR News : Qu’avez-vous constaté sur ce métier avec le développement du télétravail ?
Hervé Liotaud : Il y a eu une prise de conscience forte depuis la crise Covid, doublée par les recommandations 2021 de l’ANSSI sur le « zero trust » : sous-entendu, il ne faut faire confiance spontanément à personne pour ne pas avoir un jour de mauvaises surprises. Donc sans un outil il est impossible de gérer le zero trust, même si l’outil ne remplacera jamais l’humain pour cela. Aujourd’hui, à l’aide de SailPoint une entreprise peut gérer un déploiement en mois là où il fallait plusieurs années auparavant. SailPoint permet de donner de la visibilité à l’administration de l’organisation et donc de pouvoir mieux la contrôler.